Подложная учетная запись AD в привилегированной группе
Описание приманки
Приманка представляет собой доменную учетную запись, помещенную в привилегированную группу. Группа может быть как стандартной привилегированной (например, Server Operators), так и привилегированной для конкретной инфраструктуры.
Злоумышленник может попытаться получить доступ к учетной записи путем перебора пароля (Bruteforce) или путем подбора пароля по словарю (Password spraying).
После перезагрузки модуля приманка принимает существующего пользователя, если username, SID и членство во всех группах совпадают с ожидаемыми. Для мониторинга состояния приманки проверяется SID и наличие пользователя во всех предопределенных группах AD через ADSI.
Приманкой возможно отслеживать попытки:
Входа под подложной учётной записью.
Запроса билетов Kerberos для подложной учё тной записи.
Получения информации об учетной записи (discovery).
Пример конфигурации
В случае незаполненного параметра userDisplayName, значение данного поля берется из поля username.
# Имя приманки # Доменная учетная запись, помещенная в привилегированную группу - name: ad_new_user_in_priv_group kind: NewUserInPrivGroupAD enabled: true spec: username: svc-helpdesk userDisplayName: Helpdesk Service Account oUnit: OU=Admins,DC=corp,DC=local minPassLen: 16 maxPassLen: 25 groupNames: - Domain Admins - Backup Operators remediation: enabled: true strategy: recreate mode: fixed maxAttempts: 3 backoffSchedule: - 5s - 30s - 60s
Описание конфигурации
Вводные параметры
name— имя приманки, обязательное поле.kind— тип приманки, обязательное поле.enabled— признак активности приманки, обязательное поле.Значение false отключает приманку.
Подсекция spec
username— имя пользователя. Обязательное поле.userDisplayName— отображаемое имя пользователя. Опциональное поле.oUnit— Organizational Unit (Организационная единица) в Active Directory, куда будет помещена УЗ. Обязательное поле.Формат значения: OU=...,OU=...,DC=...,DC=...
minPassLen— минимальная длина пароля. Опциональное поле. Пароль от учетной записи генерируется случайном образом. Значение должно быть > либо = 1 и < либо = maxPassLen.Значение по умолчанию: 8.
maxPassLen— максимальная длина пароля. Опциональное поле. Значение должно быть > либо = 1 и > либо = minPassLen.Значение по умолчанию: 16.
groupSids— список SID групп. Опциональное поле. Необходимо определить минимум одно значение groupSids или groupNames.groupNames— список имен групп. Опциональное поле. Необходимо определить минимум одно значение groupSids или groupNames.
Подсекция remediation
Подсекция remediation является опциональной и содержит параметры автоматического восстановления приманки:
enabled— признак активности автоматического восстановления, обязательное поле.Значение false отключает восстановление.
Значение по умолчанию: true.
strategy— стратегия автоматического восстановления приманки, обязательное поле.Возможные значения:
recreate (по умолчанию) — пересоздание приманки.
alert — оповещение о падении приманки.
mode— режим автоматического восстановления приманки, обязательное поле.Возможные значения:
fixed (по умолчанию) — ограниченное количество попыток восстановления.
infinite — неограниченное количество попыток восстановления.
maxAttempts— количество попыток автоматического восстановления приманки. Обязательное поле, еслиmode: fixed. Приmode: infiniteпараметр игнорируется, попытки продолжаются до успеха.Значение по умолчанию: 3.
backoffSchedule— промежуток времени между попытками автоматического восстановления приманки, опциональное поле.Определяется списком значений времени, спустя которое осуществится следующая попытка восстановления. Если попыток больше элементов списка, используется последний временной интервал.
Значение по умолчанию: [5s, 30s, 60s, 5m, 15m, 30m, 60m].